Linkschwachstelle in 7-Zip wird aktiv ausgenutzt
Ein schwerwiegender Fehler in der weit verbreiteten Kompressionssoftware 7-Zip wird derzeit aktiv von Angreifern genutzt. Die Schwachstelle ermöglicht die Ausführung beliebigen Codes aus der Ferne – und trifft besonders Systeme, auf denen Dienste mit erhöhten Rechten laufen.
Die Sicherheitslücke mit der Kennung CVE-2025-11001 besitzt einen Schweregrad von 7,0 und betrifft den Umgang mit symbolischen Links in ZIP-Archiven. Vereinfacht gesagt: 7-Zip prüft in bestimmten Fällen nicht ausreichend, wohin ein symbolischer Link innerhalb einer ZIP-Datei zeigt. Laut Trend Micros Zero Day Initiative besteht „der spezifische Fehler im Umgang mit symbolischen Links in ZIP-Dateien. Präparierte Daten können dazu führen, dass der Prozess in nicht vorgesehene Verzeichnisse wechselt.“
Dadurch kann ein Angreifer erreichen, dass 7-Zip beim Entpacken in unerwartete Verzeichnisse schreibt oder Dateien überschreibt – und dadurch schließlich Code im Kontext eines Dienstkontos ausführt. Besonders kritisch ist das, weil solche Konten üblicherweise weitreichende Rechte besitzen.
Entdeckt wurde die Schwachstelle von Ryota Shiga von GMO Flatt Security, gemeinsam mit dem KI-gestützten AppSec Auditor Takumi. Die Fehlerkorrektur wurde im Juli 2025 in 7-Zip Version 25.01 veröffentlicht.
Zweite Schwachstelle im gleichen Modul
Parallel wurde auch die verwandte Schwachstelle CVE-2025-11002, auch sie mit Schweregrad 7,0, behoben, die ebenfalls eine entfernte Codeausführung ermöglicht. Ursache ist – wie bei der ersten Schwachstelle – eine fehlerhafte Verarbeitung symbolischer Links in ZIP-Archiven. Dadurch kann ein Angreifer erzwingen, dass 7-Zip beim Entpacken in andere als die vorgesehenen Verzeichnisse schreibt und so eine Verzeichnisüberschreitung auslöst.
Beide Schwachstellen wurden bereits mit Version 21.02 in den Quellcode integriert und blieben dort über mehrere Versionen hinweg unentdeckt.
Aktive Angriffe – aber kaum Details
Der britische Gesundheitsdienst NHS England Digital warnte: „Aktive Ausnutzung von CVE-2025-11001 wurde beobachtet.“ Wer hinter den Angriffen steckt, welche Gruppen beteiligt sind und welche Angriffsketten konkret eingesetzt werden, ist bislang jedoch nicht öffentlich bekannt. Sicher ist nur: Es existieren funktionierende Proof-of-Concepts (PoCs), und allein deren Verfügbarkeit erhöht den Druck auf alle Nutzerinnen und Nutzer erheblich, schnell auf eine abgesicherte Version umzusteigen.
Exploit nur auf Systemen mit erhöhten Rechten möglich
Der Sicherheitsforscher Dominik, bekannt unter dem Namen pacbypass, beschreibt in seiner Analyse eindeutige Voraussetzungen: „Diese Schwachstelle kann nur aus dem Kontext eines erhöhten Benutzer- oder Dienstkontos oder auf einem Gerät mit aktiviertem Entwicklermodus ausgenutzt werden. Diese Schwachstelle kann nur unter Windows ausgenutzt werden.“
Damit wird deutlich: Die Gefahr ist real – allerdings vor allem für Systeme, die ohnehin über besonders weitreichende Rechte verfügen. Dazu gehören vor allem Server oder Arbeitsstationen mit erweiterten Berechtigungen, bei denen ein erfolgreiches Eindringen deutlich gravierendere Folgen haben kann.
Fazit: Aktualisierung ist zwingend erforderlich
Angesichts der aktiven Ausnutzung und der verfügbaren Beweiskonzepte sollten Anwender von 7-Zip unverzüglich auf Version 25.00 oder eine neuere Ausgabe aktualisieren. Die Schwachstellen betreffen grundlegende Mechanismen beim Umgang mit ZIP-Archiven und können unter bestimmten Bedingungen zu einer umfassenden Systemkompromittierung führen. Eine schnelle Aktualisierung ist daher die einzig wirksame und sofort verfügbare Schutzmaßnahme.